Hoe veilig zijn je gegevens bij Apple?

Secure my Mac

Apple geeft je sinds kort de mogelijkheid om iWork voor iCloud-documenten te voorzienvan een wachtwoord. Maar hoe goed zijn die documenten, wachtwoorden en andere gegevens beveiligd als ze op de Apple-servers staan? En geldt het voor het hele proces van opvragen, bewerken en opslaan? iCulture zocht het uit.

Bij iWork voor iCloud belooft Apple dat ze minimaal 128-bit AES-encryptie gebruiken en geen encryptiesleutels aan externe partijen beschikbaar stellen. Ook aan het transport van data is gedacht: iCloud gebruikt dezelfde minimale 128-bit AES-encryptie wanneer data over internet wordt gestuurd en wanneer data op de servers van Apple wordt opgeslagen. In een overzicht is te zien welke gegevens zijn beveiligd: zowel tijdens de overdracht als bij het opslaan van de server zijn de agenda, het adresboek, reservekopieën, foto’s en documenten in de cloud beveiligd met minimaal 128-bit AES-encryptie. Belangrijke uitzondering: mail en notities zijn niet beveiligd als ze op de server zijn opgeslagen en Apple legt ook uit waarom dat is.

Apple koploper in onderzoek naar wachtwoordbeleid

Apple blijkt het bovendien goed te doen in een vergelijkend onderzoek naar wachtwoorden. Samen met Microsoft eindigde Apple in bovenin de top 100 van een ranglijst waarbij ook bekende winkels als Toys R Us, Foot Locker en Staples waren beoordeeld. Apple was de enige website die een perfecte score van 100 behaalde. Er werd daarbij gekeken naar 24 criteria, zoals het toestaan van zwakke wachtwoorden zoals ’123456′ en het onversleuteld versturen van wachtwoorden via e-mail. Het onderzoek werd uitgevoerd door Dashlane, een aanbieder van wachtwoordoplossingen. Opmerkelijk was dat 55% van de website nog steeds slechte wachtwoorden zoals ’123456′ en ‘password’ toestaan. Bij Apple is het verplicht om bij je Apple ID een wachtwoord van minstens 8 tekens te maken, waarin minimaal één cijfer, een hoofdletter en een kleine letter moeten voorkomen. Apple geeft gebruikers ook tips hoe ze een sterk wachtwoord kunnen maken – maar gek genoeg geeft Apple geen tips hoe je je wachtwoorden kunt bewaren met handige apps zoals LastPass of 1Password. In plaats daarvan heeft Apple een eigen oplossing (de iCloud Sleutelhanger of Keychain) voor het beheren van wachtwoorden tussen verschillende apparaten. Apple heeft voor je Apple ID ook tweestaps-verificatiebeschikbaar.

dashlane-onderzoek

Vier maatregelen voor veilige wachtwoorden

Online winkels die het wat minder nauw nemen met de wachtwoordeisen, zeggen dat ze dat doen vanwege gebruikersgemak. Het is vervelend als je bij het invoeren van je favoriete wachtwoord ’123456′ een waarschuwing krijgt dat je verplicht bent een veiliger wachtwoord te kiezen. Maar volgens de onderzoekers laat Apple zien dat het mogelijk is om een veilige oplossing aan te bieden en toch de gebruikers niet te irriteren. Apple implementeerde de vier maatregelen die de onderzoekers aanraden op de juiste manier. Die vier maatregelen zijn:

  • Wachtwoorden van tenminste 8 karakters met een combinatie van letters, cijfers en symbolen;
  • Blokkeren van accounts na vier inlogpogingen;
  • Advies aan gebruikers geven over het kiezen van veilige wachtwoorden;
  • Het tonen van een balkje, waarop je kunt zien hoe veilig je wachtwoord is.

apple-sterk-werkwoord

Het buitensluiten van gebruikers na vier inlogpogingen kan trouwens ook nadelen hebben. Als je iemand het leven zuur wilt maken, hoef je alleen maar de gebruikersnaam te weten om iemand anders het leven zuur te maken tijdens het internetbankieren of het invoeren van de belastingaangifte. Van de andere kant: bedrijven als Amazon, Dell en Vistaprint staan na 10 onjuiste wachtwoorden doodleuk toe om nog meer wachtwoorden uit te proberen. Ook dat kan niet de bedoeling zijn.

Beveiligingsvragen en tweestapsverificatie

Om te voorkomen dat anderen je wachtwoord makkelijk kunnen achterhalen maakt Apple gebruik van drie beveiligingsvragen waarmee je je kunt identificeren. Die beveiligingsvragen kun je elk moment wijzigen of opnieuw instellen als je ze bent vergeten.

Om nog even terug te komen op de beveiliging van iWork-documenten: beveiligingsbedrijf ElcomSoft probeerde in 2012 om de wachtwoorden van iWork-documenten te achterhalen met een brute force-aanval. “Het proces is pijnlijk traag”, aldus Andy Malyshev in een persbericht. “Apple gebruikt sterke AES-encryptie met 128-bit sleutel, waardoor een wachtwoordaanval de enige haalbare oplossing is. We zijn momenteel in staat om honderden wachtwoordcombinaties per seconde te proberen op een gemiddelde CPU. Dat is traag.” ElcomSoft kan dit proces versnellen door rekening te houden met ‘de menselijke factor’.

Menselijke factor

Wat die menselijke factor is, leggen ze uit in een blogposting: de iWork-apps voor iOS kosten maar €8,99 per stuk (en zijn voor een deel van de gebruikers zelfs gratis). Apple richt zich met deze apps op consumenten, niet op overheidsinstellingen en bedrijven die een strikt beveiligingsbeleid volgen. Als consumenten geen regels opgelegd krijgen, zullen ze makkelijke wachtwoorden kiezen, zoals de naam van hun hond. Ook zullen ze bepaalde wachtwoorden meermaals gebruiken, zonder daarin veel variatie aan te brengen. Lekt er bij een minder goed beveiligde dienst een bestand met gebruikersnamen en wachtwoorden uit, dan is de kans groot dat diezelfde wachtwoorden ook werken bij allerlei andere online diensten.

Om beveiligde iWork-documenten te kunnen ontcijferen heb je het wachtwoord in platte tekst nodig. Apple probeert die zo goed mogelijk te beveiligen: ze gebruiken het PBKDF2-algoritme om een encryptiesleutel te kunnen maken, waarbij ze 4.000 iteraties van een hash-functie toepassen om de noodzakelijke willekeur te kunnen garanderen. Ze gebruiken daarvoor SHA1, ontworpen door (jawel!) de NSA. Bedrijven zoals ElcomSoft die graag wachtwoorden kraken, kiezen daarom liever niet voor een ‘domme’ brute force-aanval, maar lopen eerst de meest kansrijke opties langs door een woordenlijst met populaire wachtwoorden te gebruiken.

Apple mag dan een perfecte score van 100% scoren op beveiligingsmaatregelen, uiteindelijk ben je zelf de zwakste schakel door een makkelijk te raden wachtwoord te kiezen of hetzelfde wachtwoord steeds opnieuw te gebruiken.

 
(Source: iPhoneclub.nl | Gonny van der Zwaag)

UTC

13 Dec 2017 - 11:13

Who's new

  • Joris
  • OCS
  • locje
  • Charlotte
  • Rutger Westen
  • Martijn van Beek
  • FUH
  • Rozemarijn
  • Eveline
  • Kevin Verburg

"No taste..."

"The only problem with Microsoft is they just have no taste."

* Steve Jobs in 'Triumph of the Nerds' (1996)

Crew Onboard

There are currently 0 users and 37 guests online.

Recent comments

Popular Callsigns

Disclaimer

TRApple.nl is 'Affiliate Free'  We are totally independent and have no affiliations with Apple, Boeing, TESLA or any other gadget provider what so ever. We reserve the right to refer to ourselves as ‘we’ and be as partial as we like. If you don't like that, stop consuming our bandwidth.
Have a good flight...

Company Freq.

You're not permitted to post shouts.
Willem-JanSinds 2 dagen werkt iTrans niet meer bij mij, is er een update ?? gr, WJ17 May 2017 - 08:24
Willem-JanGoedemorgen all,17 May 2017 - 08:24
KoenBeste trapple, Heb sinds kort een one plus 3t met android versie 7. Als ik in de standby app een datum wil selecteren dan sluit de app zich. Daarna moet je alles weer invoeren oftewel de app is niet te gebruiken. Groetjes, Koen Schimmel11 Feb 2017 - 11:17
AwesomeThx, Cees, for your donation to keep TRApple & eTRA safe and stable.27 Mar 2015 - 10:33
Awesome@steven: http://trapple.nl/content/agenda-niet-te-zien19 Feb 2015 - 18:53
X